Управление инцидентами безопасности Майкрософт
Корпорация Майкрософт постоянно работает над предоставлением высокозащищенных служб корпоративного уровня для клиентов Майкрософт, но инциденты безопасности являются неизбежной реальностью, которую необходимо тщательно и быстро контролировать. В этом документе содержится обзор того, как корпорация Майкрософт обрабатывает инциденты безопасности, используя проверенные методы и технологии, чтобы свести к минимуму их потенциальное влияние. Под инцидентом безопасности понимается любой незаконный доступ к данным клиентов, хранящимся на оборудовании Корпорации Майкрософт или в помещениях Корпорации Майкрософт, или несанкционированный доступ к такому оборудованию или объектам, которые могут привести к потере, раскрытию или изменению данных клиента. Целью корпорации Майкрософт при реагировании на инциденты безопасности является защита данных клиентов и веб-службы Майкрософт.
Группы безопасности Майкрософт веб-службы и различные группы служб работают совместно и подход к инцидентам безопасности:
- Подготовка
- Обнаружение и анализ
- Сдерживание, ликвидация и восстановление
- Действия после инцидента
Подход Майкрософт к управлению инцидентами безопасности
Подход Корпорации Майкрософт к управлению инцидентом безопасности соответствует специальной публикации Национального института стандартов и технологий (NIST) 800-61. Корпорация Майкрософт имеет несколько специализированных групп, которые совместно работают над предотвращением, мониторингом, обнаружением инцидентов безопасности и реагированием на них.
| Команда или область | Описание |
|---|---|
| Центр Майкрософт по реагированию на угрозы | Определяет, отслеживает, разрешает инциденты безопасности и уязвимости программного обеспечения Майкрософт и реагирует на них. |
| Центр операций киберзащиты | Центр киберзащиты — это физическое расположение, которое объединяет группы реагирования на вопросы безопасности и экспертов со всей компании для защиты, обнаружения угроз и реагирования на них в режиме реального времени. |
| Корпоративные, внешние и юридические вопросы | Предоставляет юридические и нормативные рекомендации по предполагаемому инциденту безопасности. |
| Группа по безопасности центра обработки данных Майкрософт | Команда, которая сосредоточена в различных службах на общих инвестициях в инженерию безопасности для защиты, обнаружения и реагирования на риски и угрозы архитектуры служб. |
| Группы реагирования на вопросы безопасности Майкрософт | Независимые группы безопасности Azure, Dynamics 365 и Microsoft 365, которые сотрудничают с командами служб для создания соответствующего процесса управления инцидентами безопасности и реагирования на любые инциденты безопасности. |
| Команды майкрософт по управлению, рискам и соответствию (GRC) | Предоставление рекомендаций по нормативным требованиям, соответствию требованиям и конфиденциальности. |
| Команды обслуживания | Группы инженеров для Azure, Dynamics 365 и Microsoft 365, которые отвечают за политики, связанные с безопасностью, и решения для каждой службы. |
| Диспетчеры операций Azure | Контролирует расследование и устранение инцидентов безопасности и конфиденциальности, связанных с Azure. |
| Центр аналитики угроз Майкрософт (MSTIC) | Предоставляет актуальные сведения об угрозах цифровой безопасности для инфраструктуры и ресурсов Майкрософт, помогает командам партнеров в корпорации Майкрософт определять приоритеты планов действий по устранению рисков и предотвращению, а также повышает защиту, внедряя мониторинг и обнаружение инцидентов практически в реальном времени. |
| Команды по взаимодействию с клиентами | Группы инженеров отвечают за все сообщения клиентов об инцидентах безопасности и обслуживания. Отдельные команды предназначены для Azure, Dynamics 365 и Microsoft 365. |
Процесс управления ответами
Группы безопасности и службы поддержки Майкрософт веб-службы совместно работают над инцидентами безопасности и принимают одинаковый подход к инцидентам безопасности, основанный на этапах управления реагированием NIST 800-61:
- Подготовка. Относится к подготовке организации, которая необходима для реагирования, включая инструменты, процессы, компетенции и готовность.
- Анализ обнаружения &. Относится к действиям по обнаружению инцидента безопасности в рабочей среде и анализу всех событий для подтверждения подлинности инцидента безопасности.
- Сдерживание, ликвидация, восстановление. Указывает на необходимые и соответствующие действия, предпринятые для сдерживания инцидента безопасности на основе анализа, выполненного на предыдущем этапе. На этом этапе также может потребоваться дополнительный анализ для полного восстановления после инцидента безопасности.
- Действия после инцидента. Относится к анализу вскрытия, выполненного после восстановления инцидента безопасности. Операционные действия, выполняемые во время процесса, проверяются, чтобы определить, нужно ли вносить какие-либо изменения на этапах подготовки, обнаружения и анализа.
Федеративная модель реагирования безопасности
Microsoft веб-службы состоит из основных продуктов Майкрософт, включая Azure, Dynamics 365 и Microsoft 365. Каждая из этих служб управляется отдельными командами с собственными операционными процессами безопасности. Другие команды корпорации Майкрософт, такие как MSTIC, также занимаются различными аспектами безопасности Microsoft веб-службы. Из-за множества команд, работающих над управлением операциями безопасности во всех различных службах, составляющих Microsoft веб-службы, корпорация Майкрософт реализовала федеративную модель реагирования на безопасность.
В этой таблице представлены операционные границы между различными группами по обеспечению безопасности веб-служб Майкрософт и группами служб Майкрософт:
| Действия | Операции группы безопасности Майкрософт | Microsoft Service Team Operations |
|---|---|---|
| Обнаружение и анализ | — Требования к обнаружению — Мониторинг и анализ безопасности — Индикатор компрометации (МОК) — охота на брейк - 24x7 безопасность по вызову и реагирование на инциденты |
— Требования к обнаружению — Мониторинг развертывания инфраструктуры — Анализ и аналитика служб — Рассмотрение событий и оповещений - 24x7 сервисное проектирование по вызову |
| Сдерживание, ликвидация, восстановление | — Потенциальный руководитель по реагированию на инциденты - Судебно-медицинские исследования — опыт в области безопасности и консультации — Руководство по восстановлению |
— Владелец инцидента безопасности — Аналитика и опыт службы — выполнение сдерживания, ликвидации и восстановления |
| Действия после инцидента | — руководитель по анализу инцидентов — Сбор и архивация данных — Извлеченные уроки и запросы ошибок — Отчеты об инцидентах |
— Анализ инцидентов на стороне службы — Определение приоритетов последующих мероприятий — Внедрение инвестиций в обеспечение безопасности — Готовность к обеспечению безопасности службы |